454 4.7.0 Error de autenticación temporal en Exchange Server

Número KB original:   979174

Síntomas

En un entorno de servidor Exchange, algunos mensajes de correo electrónico se encuentran atascados en una cola de entrega remota que debería haber sido transferida a otro servidor exchange interno de la organización de Exchange.

Si abre la herramienta Visor de cola desde el nodo Cuadro de herramientas en el Consola de administración de Exchange, el campo Último error muestra un mensaje de error similar al siguiente:

La dirección IP de destino principal 451 4.4.0 respondió con: "Error de autenticación temporal 454 4.7.0". Intento de conmutación por error a host alternativo, pero no se ha hecho correctamente. No hay hosts alternativos o no se pudo entregar a todos los hosts alternativos.

Además, puede encontrar el siguiente mensaje de error en el archivo de registro de aplicaciones en el servidor Exchange que recibe el mensaje de correo electrónico:

Tipo de evento: Error Origen del evento: Categoría de evento MSExchangeTransport: Identificador de evento SmtpReceive: 1035 Descripción: Error de autenticación de entrada con error IllegalMessage para conector de recepción Predeterminado <Server> . El mecanismo de autenticación es ExchangeAuth. La dirección IP de origen del cliente que intentó autenticarse en Microsoft Exchange es [SourceIPAddress].

Causa

Este problema se produce si el servidor Exchange no puede autenticarse con el servidor remoto de Exchange. Los servidores exchange requieren autenticación para enrutar los mensajes de usuario internos entre servidores. El problema puede deberse a uno de los siguientes motivos:

  • El servidor Exchange está experimentando problemas de sincronización de tiempo.
  • Hay un problema de replicación entre los controladores de dominio.
  • El servidor Exchange está experimentando problemas con el nombre principal de servicio (SPN).
  • El firewall bloquea los puertos TCP/UDP necesarios para el protocolo Kerberos.

Solución

Para resolver este problema, siga estos pasos:

  1. Compruebe el reloj en los servidores y controladores de dominio que se pueden usar para autenticar los servidores. Todos los relojes deben sincronizarse en un plazo de 5 minutos entre sí.

  2. Forzar la replicación entre controladores de dominio para ver si hay un problema de replicación.

  3. Compruebe que el nombre de entidad de seguridad de servicio (SPN) SMTPSVC está registrado correctamente en el servidor de destino.

    • Asegúrese de que las entradas y se agregan correctamente a la cuenta del equipo SMTP SMTPSVC mediante la herramienta SetSPN. Por ejemplo:

      SetSPN -L <ExchangeServerName>
      SMTP/ <ExchangeServerName>
      SMTP/ <ExchangeServerName> .example.com
      SMTPSVC/ <ExchangeServerName>
      SMTPSVC/ <ExchangeServerName> .example.com

    • Compruebe si hay SPN duplicados mediante la herramienta SetSPN. Solo debe haber una entrada de cada una:

      SetSPN -x
      Entrada de procesamiento 0
      se encontró 0 grupo de SPN duplicados.

  4. Compruebe que los puertos necesarios para Kerberos están habilitados.

  5. Si los pasos anteriores no funcionan, puede activar el registro de Kerberos en el servidor que está registrando el mensaje evento 1035, que puede proporcionar información adicional. Para ello, siga estos pasos:

    1. Seleccione Inicio, Ejecutar, escriba Regedit y, a continuación, seleccione Aceptar.
    2. Busque la clave del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters .
    3. En el menú Editar, elija Nuevo y, a continuación, seleccione Valor DWORD.
    4. En el panel de detalles, escriba el nuevo valor LogLevel y, a continuación, presione Entrar.
    5. Haga clic con el botón secundario en LogLevel y, a continuación, seleccione Modificar.
    6. En el cuadro de diálogo Editar valor DWORD, en Base, seleccione Decimal.
    7. En el cuadro Datos de valor, escriba el valor 1 y, a continuación, seleccione Aceptar.
    8. Cierre el Editor del Registro.
    9. Compruebe de nuevo en el registro de eventos del sistema si hay errores kerberos.
  6. En el Exchange Server de destino, compruebe los conectores de recepción que reciben mensajes de correo electrónico internos y asegúrese de que tienen habilitada la autenticación de Exchange.